限制非法访问客户端的方法与措施班级11国贸统本1班姓名孟繁东学号111105020153实训题目限制非法访问客户端的方法与措施实训时间.2013.*11.05具体内容:限制非法访问客户端的方法与措施备注实训步骤1、NAP服务器端配置(1).配置健康策略服务器以管理员administrator身份登录Ctocio,依次点击“开始”→“管理工具”,打开“网络策略服务器”窗口。依次展开“NPS(本地)”→“网络访问保护”→“系统健康验证器”,在内容面板双击“Windows安全健康验证程序”,在“Windows安全健康验证程序属性”对话框,点击“配置”只勾选“防火墙”下的“已为所有网络连接启用防火墙”,取消所有其它选择(注意不需要取消对”WindowsUpdate“的选择),点击“确定“关闭“Windows安全健康验证程序属性”对话框。(图1)图1Windows安全健康验证程序需要注意的是,“Windows安全健康验证程序“这一SHV是由微软提供的,主要用于监控客户端计算机安全中心的状态。当然如果你还想监控第三方厂家产品的安全配置,还需要安装由其他厂家开发的SHV的。(2).配置更新服务器组在“网络策略服务器”窗口的右窗格的“网络访问保护”下,右击“更新服务器组”,点击“新建”弹出对话框,在“组名“中输入“Windows设置更新服务器组1”,然后点击“添加”,在“IP地址或DNS名称”下输入192.168.1.1,然后点击”确定“两次。说明一下,此组中所包含的服务器实际上应放在受限网络中用于对客户端进行修补的服务器,例如WSUS服务器,病毒库升级服务器等。(图2)图2新建WSUS服务器(3).配置健康策略在“网络策略服务器”窗口中点击“策略”项选择“健康策略”,右击选择“新建”,在“新建健康策略属性”对话框中,“策略名称”输入“健康”,在“此健康策略中使用的SHV”选择“Windows安全健康验证程序”,点击“确定”。接下来,继续点击“策略”,选择“健康策略”,右击选择“新建”在“新建健康策略属性”对话框中,“策略名称”输入“不健康”,在“客户端SHV检查”选择“客户端未能通过一个或多个SHV检查”,在“此健康策略中使用的SHV”选择“Windows安全健康验证程序”,点击“确定”即可。(图3)图3Windows安全健康验证程序(4).配置网络策略在“网络策略服务器”窗口中点击“策略”,选择“网络策略”,禁用三条默认的策略(选中策略名称,右击选择“禁用”)。右击“网络策略”,选择“新建”,在“新建网络策略向导”的“指定网络策略名称和连接类型”页面,在“策略名称”中输入“健康网络策略完全访问”,在“网络访问服务器类型”选择“DHCPServer”。点击“下一步”,在“指定条件”页面,点击“添加”。在“选择条件”对话框,选择“健康策略”。在“健康策略”对话框选择“健康”,然后点击“确定”,再点击“下一步”。在“指定访问权限”页面,选择“已授予访问权限”,点击“下一步”。在“配置身份验证方法”页面,勾选“仅执行计算机健康检查”,取消所有其它选择,点击“下一步”。在“连接请求策略”对话框,点击“否”。在“配置约束”页面,点击“下一步”。在“配置设置”页面,“网络访问保护”“NAP强制”,选择“允许完全网络访问”,点击“下一步”。最后点击“完成”关闭“新建网络向导”。(图4)图4健康策略通过上面的设置,我们已经创建应用于健康客户端的网络策略,下面将创建用于不健康客户端的网络策略。在“网络策略服务器”窗口中点击“策略”,选择“网络策略”,右击选择“新建”。在“新建网络策略向导”,“指定网络策略名称和连接类型”页面,在“策略名称”中输入“不健康网络策略-受限访问”,在“网络访问服务器类型”选择“DHCPServer”,点击“下一步”。在“指定条件”页面,点击“添加”。在“选择条件”对话框,选择“健康策略”。在“健康策略”对话框选择“不健康”,然后点击“确定”,再点击“下一步”。在“指定访问权限”页面,选择“已授予访问权限”,点击“下一步”。(说明一下,如果希望直接拒绝客户端从公司的DHCP服务器获得TCP/IP配置,可以选择“拒绝访问”,因为本例中将设置受限访问,所以依然选择了“已授予访问权限”。)(图5)图5新建网络策略我们继续配置,...
